要使新的Open Graph Protocol正常工作,我們通過向Facebook發送包含對象url的請求來推送操作。使用Open Graph將操作發佈到Facebook時保持隱私
Facebook然後發送它的bot與一個特殊的用戶代理字符串來獲取有關對象的信息。
被推送到Facebook的信息可能是用戶特定的(不僅僅是一本書或配方),因此只能由用戶和他們的朋友訪問。
我的問題是,除了檢查用戶代理(很容易欺騙)和使用我猜對象的難以猜測的URL之外,是否有任何方法阻止人們訪問本質上是私人信息的內容(通過對象唯一url) ?
對象的一些例子可能是私人的......跑步,與減肥有關的任何事情,相冊。
經過大量的研究,我會很好的回答我自己的問題。
如果您的應用包含您希望對創建它的人保密的信息(例如每週節食更新),則必須確保您的對象Open Graph URL不可猜測。這意味着,當你調用API,或者通過捲曲做...
curl -F 'access_token=[access_token]' \
-F 'object=http://example.com/[object_url]' \ 'https://graph.facebook.com/me/[namespace]:[action]'
..你要確保[object_url]不是猜測的。一個很好的方法是包含對象id和一些其他不可猜測的散列/字符串。
上述步驟確保只有您和Facebook能夠知道對象信息所在的位置,以便您可以將它交出來,甚至偶爾更新它。即使有人設法訪問了一個對象url,他們仍然無法訪問任何其他對象。
安全問題的第二部分在圖形方面,但正如您從點擊以下鏈接的結果中可以看到的那樣,您必須具有access_token才能查看應用程序圖形對象,因此這也是安全且私密的:
http://graph.facebook.com/10150300390106292
我希望這可以幫助別人在某些時候。它讓我困惑。
你將不得不在你身邊實施「保護」。只有認證的用戶才能看到您共享的內容。
在自己的網站設計應基於考慮您的網站內容顯示: 已註銷用戶 Facebook的用戶,您的應用程序 的Facebook用戶的不是用戶,您的應用程序的用戶,但不允許查看所有內容 Facebook用戶,您的應用的用戶並允許看到內容
這樣您就可以正確處理每種情況。您可以使用「受保護的」視圖鼓勵新用戶,鼓勵在您的應用中分享更多內容。
當用戶「添加應用程序」時,他們將能夠選擇此應用程序的共享規則。您需要確保您實施適合您的內容的權威模型,以及它如何與用戶之間共享。
不知道你明白這個問題。我在詢問Facebook bot何時訪問我的對象地址,而不是如何保護應用內的數據。 –